Inloggen

Verwerkersovereenkomst

Laatst bijgewerkt: 15 April 2026

Deze Gegevensverwerkingsovereenkomst (“DPA”) maakt deel uit van de overeenkomst tussen de entiteit die is geïdentificeerd in het Accsible-account (“Klant”, “Verwerkingsverantwoordelijke”) en Denizcom Ltd, handelend onder de naam Accsible, geregistreerd te 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Verwerker”), en vult de Gebruiksvoorwaarden en Privacybeleid aan (samen de “Hoofdovereenkomst”).

Deze DPA is van toepassing wanneer en voor zover Accsible Persoonsgegevens verwerkt namens de Klant in het kader van de levering van de Dienst. Zij is bedoeld om naleving van artikel 28 van de UK GDPR, de EU GDPR (Verordening 2016/679) en andere toepasselijke wetgeving inzake gegevensbescherming te waarborgen.

1. Definities

In deze DPA, tenzij de context anders vereist:

  • “Wetgeving inzake gegevensbescherming” — de UK GDPR, de EU GDPR, de Data Protection Act 2018, de Privacy and Electronic Communications Regulations 2003, en alle andere toepasselijke wetgeving inzake gegevensbescherming.
  • “Persoonsgegevens” — alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die door Accsible namens de Klant wordt verwerkt onder de Hoofdovereenkomst.
  • “Verwerking” — elke bewerking die op Persoonsgegevens wordt uitgevoerd, waaronder verzamelen, vastleggen, opslaan, opvragen, gebruiken, verstrekken, wissen of vernietigen.
  • “Subverwerker” — elke derde partij die door Accsible wordt aangesteld om Persoonsgegevens namens de Klant te verwerken.
  • “Betrokkene” — de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
  • “Eindgebruiker” — een bezoeker van de website van de Klant die interactie heeft met de Accsible Widget.
  • “Beveiligingsincident” — een inbreuk op de beveiliging die leidt tot de per ongeluk of onrechtmatig vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot Persoonsgegevens.
  • “SCCs” — de Standaardcontractbepalingen die zijn goedgekeurd door de Europese Commissie (Besluit 2021/914) of de UK International Data Transfer Agreement (IDTA), naargelang van toepassing.

2. Reikwijdte & Details van de Verwerking

2.1 Onderwerp

Accsible levert een toegankelijkheidswidget en SaaS-platform. Wanneer de Klant de Widget integreert op zijn website(s), verwerkt Accsible bepaalde Persoonsgegevens van Eindgebruikers namens de Klant.

2.2 Duur

De Verwerking begint wanneer de Klant de Widget activeert en loopt door gedurende de looptijd van de Hoofdovereenkomst. Bij beëindiging is artikel 11 van deze DPA van toepassing.

2.3 Aard en Doel van de Verwerking

Aspect Detail
Doel Het leveren en exploiteren van de toegankelijkheidswidget; het verstrekken van gebruiksanalyses en toegankelijkheidsscores aan de Klant via het Dashboard; het verwerken van feedback die door Eindgebruikers is ingediend.
Aard van de verwerking Verzamelen, opslaan, aggregeren, analyseren en verwijderen van Persoonsgegevens voor zover nodig om de Dienst te leveren.

2.4 Soorten Persoonsgegevens

  • IP-adressen (geanonimiseerd voor analyses; volledig IP in beveiligingslogs tot 90 dagen)
  • Browsertype, versie en user-agentstring
  • Apparaattype en besturingssysteem
  • Bezochte pagina's en tijdstippen op de website van de Klant
  • Toegankelijkheidsvoorkeuren geselecteerd door Eindgebruikers (lokaal opgeslagen op het apparaat van de Eindgebruiker; niet verzonden tenzij feedback wordt ingediend)
  • Feedbackinzendingen (naam en/of e-mail indien vrijwillig verstrekt door de Eindgebruiker)
  • Geaggregeerde paginaweergavestatistieken

2.5 Categorieën van Betrokkenen

  • Eindgebruikers — bezoekers van de website(s) van de Klant die interactie hebben met de Accsible Widget
  • Personeel van de Klant — personen die namens de Klant toegang hebben tot het Accsible Dashboard

3. Verplichtingen van de Klant (Verwerkingsverantwoordelijke)

De Klant zal:

  • Zorgen dat hij een rechtmatige grondslag heeft voor de Verwerking van Persoonsgegevens en voor het instrueren van Accsible om deze te verwerken.
  • Alle vereiste kennisgevingen verstrekken en alle noodzakelijke toestemmingen van Betrokkenen verkrijgen zoals vereist door de Wetgeving inzake gegevensbescherming, waaronder het informeren van Eindgebruikers over het gebruik van de Accsible Widget in het eigen privacybeleid van de Klant.
  • Zorgen dat zijn instructies aan Accsible voldoen aan de Wetgeving inzake gegevensbescherming.
  • Accsible onverwijld op de hoogte stellen van wijzigingen in toepasselijke Wetgeving inzake gegevensbescherming die van invloed kunnen zijn op de verwerkingsverplichtingen van Accsible.

4. Verplichtingen van Accsible (Verwerker)

Accsible zal:

  • Persoonsgegevens alleen verwerken op gedocumenteerde instructies van de Klant (inclusief de instructies in deze DPA en de Hoofdovereenkomst), tenzij dit vereist is op grond van toepasselijk recht — in welk geval Accsible de Klant vóór de verwerking zal informeren, tenzij het hem wettelijk verboden is dit te doen.
  • Zorgen dat personen die bevoegd zijn om Persoonsgegevens te verwerken zich tot geheimhouding hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen.
  • De technische en organisatorische beveiligingsmaatregelen implementeren en handhaven die in artikel 5 worden beschreven.
  • Voldoen aan de voorwaarden voor het inschakelen van Subverwerkers zoals uiteengezet in artikel 6.
  • De Klant, met passende technische en organisatorische maatregelen, bijstaan bij het nakomen van zijn verplichting om te reageren op verzoeken van Betrokkenen (artikel 7).
  • De Klant bijstaan bij het waarborgen van naleving van zijn verplichtingen uit hoofde van artikelen 32–36 van de GDPR (beveiliging, kennisgeving van inbreuken, effectbeoordelingen en voorafgaande raadpleging), rekening houdend met de aard van de verwerking en de informatie waarover Accsible beschikt.
  • Naar keuze van de Klant alle Persoonsgegevens verwijderen of teruggeven bij beëindiging van de Hoofdovereenkomst (artikel 11).
  • De Klant alle informatie ter beschikking stellen die nodig is om naleving van de verplichtingen uit hoofde van artikel 28 van de GDPR aan te tonen, en audits en inspecties mogelijk maken en daaraan bijdragen (artikel 10).
  • De Klant onmiddellijk informeren indien, naar het oordeel van Accsible, een instructie van de Klant in strijd is met de Wetgeving inzake gegevensbescherming.

5. Beveiligingsmaatregelen

Accsible implementeert en handhaaft de volgende technische en organisatorische maatregelen om Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, accidenteel verlies, vernietiging of beschadiging:

5.1 Technische Maatregelen

  • Versleuteling tijdens overdracht met TLS/HTTPS voor alle verbindingen, inclusief CDN-levering, API-communicatie en toegang tot het Dashboard.
  • Wachtwoordhashing met behulp van gezouten, eenrichtings cryptografische algoritmen.
  • Content Security Policy (CSP)-headers om cross-site scripting- en injectieaanvallen te beperken.
  • DDoS-bescherming via Cloudflare.
  • Foutmonitoring (Sentry) geconfigureerd om alle tekst te maskeren en alle media te blokkeren in sessie-opnames.
  • Anonimisering van IP-adressen in analyseverwerking.
  • Toegankelijkheidsvoorkeuren van Eindgebruikers opgeslagen in lokale opslag van de browser (alleen op het apparaat; niet verzonden naar servers tenzij feedback wordt ingediend).

5.2 Organisatorische Maatregelen

  • Toegangscontroles op basis van rollen; toegang tot Persoonsgegevens beperkt tot personeel dat deze nodig heeft om zijn taken uit te voeren.
  • Geheimhoudingsverplichtingen voor al het personeel en alle opdrachtnemers met toegang tot Persoonsgegevens.
  • Regelmatige beveiligingsbeoordelingen en monitoring van de infrastructuur.
  • Procedures voor incidentrespons zoals beschreven in artikel 8.
  • Bewaarbeleid dat ervoor zorgt dat Persoonsgegevens niet langer worden bewaard dan noodzakelijk is (zie artikel 9).

6. Subverwerkers

6.1 Algemene Machtiging

De Klant verleent Accsible een algemene schriftelijke machtiging om Subverwerkers in te schakelen voor het uitvoeren van specifieke verwerkingsactiviteiten namens de Klant. Accsible zal op elke Subverwerker bij wijze van schriftelijke overeenkomst gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan die in deze DPA.

6.2 Huidige Subverwerkers

De volgende Subverwerkers zijn ingeschakeld op de datum van deze DPA:

Subverwerker Doel Locatie
Cloudflare, Inc. CDN, DDoS-bescherming, contentlevering voor Widget en API Wereldwijd (hoofdkantoor in de USA); gegevensverwerking in de EU/UK onder SCCs
Functional Software, Inc. (Sentry) Foutmonitoring en prestatiediagnostiek USA; verwerking onder SCCs
Google LLC (Google Analytics) Geaggregeerde websiteverkeersanalyses (alleen op basis van toestemming) USA; verwerking onder SCCs en EU-US Data Privacy Framework
Stripe, Inc. Betalingsverwerking en abonnementsbeheer USA; PCI DSS Level 1 gecertificeerd; verwerking onder SCCs

6.3 Wijzigingen in Subverwerkers

Accsible zal de Klant per e-mail ten minste 30 dagen vóór het toevoegen of vervangen van een Subverwerker op de hoogte stellen. De kennisgeving bevat de naam van de Subverwerker, de verwerking die deze zal uitvoeren, en de locatie ervan.

Indien de Klant een redelijk bezwaar heeft tegen een nieuwe Subverwerker op grond van gegevensbescherming, zal de Klant Accsible binnen 14 dagen na ontvangst van de kennisgeving schriftelijk op de hoogte stellen. Partijen zullen de bezorgdheid te goeder trouw bespreken. Indien partijen het bezwaar niet binnen 30 dagen kunnen oplossen, kan de Klant de betrokken Dienst beëindigen door schriftelijke kennisgeving te verstrekken, en zal Accsible alle vooruitbetaalde vergoedingen voor het ongebruikte deel van de abonnementsperiode terugbetalen.

7. Rechten van Betrokkenen

Accsible zal, rekening houdend met de aard van de verwerking, de Klant met passende technische en organisatorische maatregelen bijstaan om te voldoen aan zijn verplichtingen om te reageren op verzoeken van Betrokkenen die hun rechten uit hoofde van de Wetgeving inzake gegevensbescherming uitoefenen, waaronder:

  • Recht op inzage
  • Recht op rectificatie
  • Recht op wissing (“recht om vergeten te worden”)
  • Recht op beperking van de verwerking
  • Recht op gegevensoverdraagbaarheid
  • Recht van bezwaar

Indien Accsible rechtstreeks een verzoek ontvangt van een Betrokkene met betrekking tot de gegevens van de Klant, zal Accsible de Betrokkene onverwijld doorverwijzen naar de Klant en de Klant op de hoogte stellen van het verzoek, tenzij het hem wettelijk verboden is dit te doen. Accsible zal niet rechtstreeks op dergelijke verzoeken reageren, tenzij daartoe geïnstrueerd door de Klant of vereist door de wet.

8. Kennisgeving van Beveiligingsincidenten

8.1 Kennisgeving

Accsible zal de Klant zonder onredelijke vertraging op de hoogte stellen van elk bevestigd Beveiligingsincident en in ieder geval binnen 48 hours nadat het daarvan op de hoogte is geraakt. De kennisgeving wordt verzonden naar het e-mailadres dat is gekoppeld aan het account van de Klant (of een alternatief adres dat de Klant voor dit doel heeft aangewezen).

8.2 Inhoud van de Kennisgeving

De kennisgeving zal, voor zover op dat moment beschikbaar, het volgende bevatten:

  • Een beschrijving van de aard van het Beveiligingsincident, inclusief de categorieën en het geschatte aantal betrokken Betrokkenen en gegevensrecords.
  • De naam en contactgegevens van het aanspreekpunt bij Accsible.
  • Een beschrijving van de waarschijnlijke gevolgen van het incident.
  • Een beschrijving van de maatregelen die zijn genomen of voorgesteld om het incident aan te pakken, inclusief maatregelen om de gevolgen ervan te beperken.

8.3 Doorlopende Verplichtingen

Accsible zal verdere informatie verstrekken zodra deze beschikbaar komt en zal samenwerken met redelijke verzoeken van de Klant om de gevolgen van het Beveiligingsincident te onderzoeken, te herstellen en te beperken. Accsible zal de Klant ook bijstaan bij het voldoen aan zijn eigen verplichtingen inzake kennisgeving van inbreuken aan toezichthoudende autoriteiten en Betrokkenen uit hoofde van artikelen 33 en 34 van de GDPR.

8.4 Registratie

Accsible zal een register bijhouden van alle Beveiligingsincidenten, inclusief de feiten rondom het incident, de gevolgen ervan en de genomen corrigerende maatregelen.

9. Bewaring van Gegevens

Accsible bewaart Persoonsgegevens die onder deze DPA worden verwerkt als volgt:

  • Beveiligingslogs (volledige IP-adressen): Tot 90 dagen, daarna permanent verwijderd.
  • Geaggregeerde analysegegevens: Maandelijks geanonimiseerd; individuele sessiegegevens worden niet bewaard.
  • Feedbackinzendingen van Eindgebruikers: Bewaard gedurende de looptijd van de Hoofdovereenkomst; verwijderd binnen 30 dagen na beëindiging.
  • Gegevens voor foutmonitoring (Sentry): Tot 90 dagen.
  • Gebruiksstatistieken van de Widget: Geaggregeerd en geanonimiseerd; geen gegevens op individueel niveau worden bewaard na verwerking.

Accsible zal Persoonsgegevens niet langer bewaren dan noodzakelijk is voor de doeleinden van het leveren van de Dienst of zoals vereist door toepasselijk recht.

10. Audits & Naleving

10.1 Informatie

Accsible zal de Klant, op redelijk verzoek, alle informatie ter beschikking stellen die redelijkerwijs nodig is om naleving van zijn verplichtingen uit hoofde van deze DPA en artikel 28 van de GDPR aan te tonen.

10.2 Auditrechten

De Klant (of een onafhankelijke externe auditor aangesteld door de Klant) mag een audit uitvoeren van de verwerkingsactiviteiten en beveiligingsmaatregelen van Accsible, onder voorbehoud van de volgende voorwaarden:

  • De Klant zal ten minste 30 days’ schriftelijke kennisgeving van een auditverzoek verstrekken.
  • Audits worden uitgevoerd tijdens normale kantooruren (maandag–vrijdag, 09:00–18:00 GMT) en zullen de activiteiten van Accsible niet onredelijk verstoren.
  • De Klant mag niet meer dan one audit per 12-month period uitvoeren, tenzij vereist door een toezichthoudende autoriteit of na een bevestigd Beveiligingsincident.
  • De auditor is gebonden aan geheimhoudingsverplichtingen die niet minder beschermend zijn dan die in de Hoofdovereenkomst.
  • Accsible kan voldoen aan een auditverzoek door een actueel SOC 2 Type II-rapport, ISO 27001-certificaat of gelijkwaardige onafhankelijke certificering te verstrekken, indien beschikbaar.

10.3 Samenwerking

Accsible zal samenwerken met de Klant en elke toezichthoudende autoriteit die toegang vereist tot de faciliteiten of gegevens van Accsible in verband met deze DPA.

11. Teruggave & Verwijdering van Gegevens

Bij beëindiging of afloop van de Hoofdovereenkomst kan de Klant binnen 30 days verzoeken dat Accsible:

  • Teruggeeft alle Persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat; of
  • Verwijdert alle Persoonsgegevens en de verwijdering schriftelijk bevestigt.

Indien de Klant binnen 30 dagen na beëindiging geen verzoek indient, zal Accsible alle Persoonsgegevens permanent verwijderen, behalve voor zover bewaring vereist is op grond van toepasselijk recht (bijv. factureringsgegevens voor fiscale naleving). Waar bewaring wettelijk vereist is, zal Accsible de gegevens isoleren en beschermen en de verwerking beperken tot het doel dat door de wet is voorgeschreven.

12. Internationale Doorgiften

Accsible is gevestigd in het Verenigd Koninkrijk. Wanneer Persoonsgegevens worden doorgegeven aan Subverwerkers die zich buiten het VK of de EER bevinden, zorgt Accsible ervoor dat passende waarborgen aanwezig zijn, waaronder:

  • UK International Data Transfer Agreement (IDTA) of UK Addendum to SCCs
  • EU Standard Contractual Clauses (SCCs) — Commission Decision 2021/914
  • Toereikendheidsbesluiten van de Secretary of State van het VK of de Europese Commissie
  • Waar van toepassing, aanvullende aanvullende maatregelen zoals aanbevolen door de ICO of EDPB

Een kopie van het relevante overdrachtsmechanisme zal op schriftelijk verzoek aan de Klant ter beschikking worden gesteld.

13. Aansprakelijkheid

De aansprakelijkheid van elke partij onder deze DPA is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid die zijn uiteengezet in de Hoofdovereenkomst (Gebruiksvoorwaarden), met dien verstande dat geen van beide partijen aansprakelijkheid voor schendingen van de Wetgeving inzake gegevensbescherming uitsluit of beperkt voor zover een dergelijke uitsluiting of beperking niet is toegestaan op grond van toepasselijk recht.

14. Looptijd & Voorrang

14.1 Looptijd

Deze DPA treedt in werking op de datum waarop de Klant voor het eerst de Accsible Widget integreert en blijft van kracht gedurende de looptijd van de Hoofdovereenkomst, en daarna totdat alle Persoonsgegevens zijn verwijderd of teruggegeven in overeenstemming met artikel 11.

14.2 Voorrang

In geval van tegenstrijdigheid tussen deze DPA en de Hoofdovereenkomst, prevaleert deze DPA met betrekking tot de verwerking en bescherming van Persoonsgegevens.

14.3 Wijzigingen

Accsible kan deze DPA bijwerken om wijzigingen in de Wetgeving inzake gegevensbescherming of verwerkingsactiviteiten weer te geven. Materiële wijzigingen worden de Klant ten minste 30 days van tevoren per e-mail meegedeeld. Voortgezet gebruik van de Dienst na de ingangsdatum van de wijzigingen geldt als aanvaarding.

15. Contact

Voor vragen of verzoeken met betrekking tot deze DPA, neem contact met ons op via:

  • Contact Gegevensbescherming: [email protected]
  • Beveiligingsincidenten: [email protected]
  • Geregistreerd kantoor: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • ICO-registratie: ZC114350